Eine Benennung eines Datenschutzbeauftragten ist bei folgenden sechs Fallkonstellationen obligatorisch.
- Der Verantwortliche ist eine öffentliche Stelle oder Behörde. Hier muss immer ein Datenschutzbeauftragter benannt werden.
- Die Kerntätigkeit besteht in der umfangreichen oder systematischen Überwachung von betroffenen Personen.
- Die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Verurteilungen.
- Regelmäßig sind mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Dabei ist zu beachten, dass die Leitung des Verantwortlichen (Geschäftsführer/in, Chef/Chefin, Inhaber/in, Partner usw.) bzw. des Auftragsverarbeiters hierbei immer hinzugerechnet wird.
- Es ist eine Datenschutz-Folgenabschätzung durchzuführen.
- Es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.
Die Aufgaben eines Datenschutzbeauftragten ergeben sich aus den Bestimmungen der DS-GVO.
- Anlaufstelle für Betroffene.
- Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten.
- Überwachung der Einhaltung der DS-GVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten.
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung.
- Zusammenarbeit mit der Aufsichtsbehörde.
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen.